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= (54) Title: SECURITY-RELATED BUS AUTOMATION SYSTEM 

H (54) Bezeichnung: SICHERHETTSBEZOGENES AUTOMAT1SIERUNGSBUSSYSTEM 

= (57) Abstract: The invention relates to a security-related automation system and a method for operating said system. In order to 
produce a security-related bus automation system which involves a minimum amount of hardware redundancy and which can be 
adapted to requirements in a flexible manner, the automation system comprises at least one security analyzer which is connected to 
the bus by means of an interface and which monitors the data flow via said bus, whereby the analyzer is configured in such a way that 
it can execute security-related functions. The automation system is characterized in that a standard control device controls at least 
one security-related output and the security analyzer is configured in such a way that it can monitor and/or process security-related 
data in the bus data flow. 



< 

On 



O 



(57) Zusammenfassung: Die ErGndung betrifft ein sicherheitsbezogenes Automatisi erungssystem und ein Verfahreo zum Betrieb 
eines derartigen Systems. Urn ein sicherheitsbezogenes Automatisi erungsbussystem bereitzustellen, welches mit einer geringen 
Hardware-Redundanz auskommt und flexibel an die jeweiligen Anfordernisse angepaBt werden kann, umfaBt das Automatisi erungs- 
system zumindest einen Sicherheitsanalysaior, der mittels einer Schni us telle an den Bus angeschlossen ist und den DatenfluB tiber 
den Bus mithort, wobei der Analysator zum Ausfunren von sicherheitsbezogenen Funktionen eingerichtet ist. Das Automatisie- 
rungssystem zeichnet sich dadurch aus, da£ die Standardstcucreinrichtung zumindest einen sicherheitsbezogenen Ausgang ansteuert 
und der Sicherheitsanalysator zur "Oberpnifung und/oder zum Verarbeiten von sicherheitsbezogenen Da ten im Busdatenstrom aus- 
gebildet isl 
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SicherheitsbP^noenes Au tomat, i Bierunoshnssvstem 



Die Erfindung betrifft ein sicherheitsbezogenes 
Automatisierungsbudsystem nach dem Oberbegriff des Anspruchs 
1 und ein Verfahren zum Betrieb eines derartigen Systems. 

Steuer- und Datenubertragungsanlagen haben aufgrund des damit 
moglichen hohen Automatisierungsgrades eine herausragende 
Stellung nicht nur in der industriellen Fertigung erlangt. 
Derartige Automat isierungssyst erne weisen im allgemeinen 
zumindest Abschnitte oder Komponenten auf, an welche erhohte 
Anforderungen im Hinblick auf die Sicherheit zu stellen sind. 
Beispielsweise muS sichergestellt sein, daS bestimmte 
Maschinen innerhalb vorgegebener Betriebsparameter betrieben 
werden oder es muS verhindert werden, da£ eine Maschine. 
lauft, obwohl sich eine Person in deren Arbeitsbereich 
auf halt. In dieser Hinsicht darf beispielsweise eine 
Drehmaschine nicht eine vorgegebene Drehzahl uberschreiten 
oder sich nicht beim Betrieb eines Roboters eine Person im 
Aktionsradius des Roboters aufhalten. Weiterhin muS beim 
Betrieb eines Automatisierungssystems sichergestellt sein, 
dafi bei einem Ausfall einer Komponente des Systems die Anlage 
nicht in einen undef inierten und damit nicht vorhersagbaren 
Zustand gerat . 

Ein Ansatz fur diese Problematic nach dem Stand der Technik 
besteht darin, insbesondere die sicherheitsrelevanten 
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Komponenten des Systems mehrkanalig, d.h. redundant 
aufzubauen. Beispielsweise kann in einem 
Automatisierungsbussystem vorgesehen sein, 

Sicherheitsbuskomponenten, d.h. z.B. Busteilnehmer , die einer 
5 sicherheitsrelevanten Maschine zugeordnet sind, doppelt 

auszufuhren. Gleichzeitig kann auch die zentrale Steuerung 
und der Bus mehrkanalig aufgebaut sein oder gar eine von der 
Proze&steuerung getrennte spezielle und unter Umstanden 
redundant aufgebaute Sicherheitssteuerung zur Steuerung der 
10 sicherheitsrelevanten Komponenten vorgesehen sein. Diese 

Sicherheitssteuerung fuhrt im wesentlichen die Verknupf ungen 
der sicherheitsbezogenen Eingangsinf ormationen durch und 
ubermittelt daraufhin, beispielsweise uber einen 
Automatisierungsbus, sicherheitsbezogene Verknupf ungsdaten an 
15 Ausgangskomponenten. Die Ausgangskomponenten ihrerseits 

bearbeiten die empfangenen SicherheitsmaSnahmen und geben 
nach positiver Prufung diese an die Peripherie aus. Daruber 
hinaus schalten sie ihre Ausgange in einen sicheren Zustand, 
wenn sie einen Fehler feststellen oder innerhalb einer 
20 vorgegebenen Zeitdauer keine gultigen Daten mehr empfangen 
haben . 

Der Einsatz von zwei Steuerungen im System, d.h. eine 
ProzeSsteuerung sowie der beschriebenen Sicherheitssteuerung 
25 hat jedoch einige Nachteile zur Folge. Gerade aufgrund 
• steigender Anf orderungen an die Reaktionszeit von 
Automat isierungssystemen muS ein derartiges System haufig auf 
Sicherheitsinseln aufgeteilt werden. Weiterhin treten 
insbesondere bei mehrkanal igen Steuerungssystemen 
30 Synchronisationsprobleme auf, welche trotz prinzipiell 
intakter Anlage zu Ausfallen oder gar Zerstorungen von 
Maschinenteilen fuhren konnen. Weiterhin zieht der 
mehrkanalige Aufbau durch den vergroSerten Hardware -Aufwand 
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eine Erhohung der System- als auch der Wartungskosten nach 
sich. 

Aus DE 198 15 15 0 Al ist ein System bekannt, welches eine an 
den Bus angeschlossene Auswerteeinheit umfaSt, die 
fortlaufend die uber das Bussystem ubertragenen Signale 
abhort und nur bei fehlerfreier Identif izierung von uber das 
Bussystem ubertragenen Kodierungen ein Arbeitsgerat in 
Betrieb setzt. Hierzu werden die durch den Busteilnehmer an 
den Master gesendeten Eingangsdaten ausgewertet und im 
Ansprechen auf die Auswertung das Arbeitsgerat eingeschaltet 
Oder ausgeschaltet belassen. 

Ein derartiger Ansatz ist im Vergleich zur erstbeschriebenen 
Anlage nicht so kostenintensiv, er ist jedoch sehr unflexibel 
im Hinblick auf eine Erweiterung des Systems oder eine 
Anpassung der Anlage an andere Buskomponenten . Weiterhin ist 
die Auswerteeinheit allein fur das Auslosen einer 
sicherheitsgerichteten Funktion zustandig, so daS zur 
Einhaltung hoher Sicherheitsanf orderungen die Auswerteeinheit 
zwingend redundant ausgefuhrt werden muS. 

Aufgabe der Erfindung ist es somit, ein sicherheitsbezogenes 
Automat isierungsbussystem bereitzustellen, welches moglichst 
mit einer geringen Hardware -Redundanz auskommt und flexibel 
an die jeweiligen Anf ordernisse angepaSt werden kann. 

Die Erfindung lost dieses Problem mit einem 

Automat isierungsbussystem mit den Merkmalen des Anspruchs 1 
sowie ein Verfahren zum Betrieb einer derartigen Steuer- und 
Datenverarbeitungsanlage nach Anspruch 14. Weiterbildungen 
der Erfindung sind in den Unteranspruchen angegeben. 
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Erf indungsgemaS umfaSt das Aut omat is ierungs system ein 
Bussystem, daran angeschlossene Sensor- und Aktor- 
Busteilnehmer und eine Standardsteuerungseinrichtung, welche 
die ProzeSsteuerung mit der Verarbeitung von prozefcgebundenen 
5 E/A-Daten und eine sicherheitsbezogene Steuerung mit der 
Verarbeitung von sicherheitsbezogenen Daten, d.h. der 
Steuerung von sicherheitsbezogenen Ein- und Ausgangen, 
durchfuhrt. Weiterhin ist ein sogenannter 
Sicherheitsanalysator umfafit, der mittels einer 
10 entsprechenden Schnittstelle an den Bus angeschlossen ist und 
den DatenfluS uber den Bus mithort, wobei der Analysator zum 
Ausfuhren von sicherheitsbezogenen Funktionen eingerichtet 
ist. Dies betrifft beispielsweise die Ansteuerung eines 
Schutzes zum Abschalten der Versorgungsspannung von 
15 Systemkomponenten oder die Ermittlung von Qualitatsdaten. 

Derartige Qualitatsdaten konnen allgemeine Systemparameter , 
z.B. Daten uber das Auftreten von Fehlem in 
Systemkomponenten oder Busubertragungs fehlem umfassen. Das 
Automatisierungssystem zeichnet sich dadurch aus, daS die 
Standardsteuereinrichtung zumindest einen 

sicherheitsbezogenen Ausgang uber den Bus ansteuert, sie kann 
jedoch auch selbst einen derartigen sicherheitsbezogenen 
Ausgang aufweisen. Erf indungsgemafi bezeichnet ein 
sicherheitsbezogener Ausgang eine Senke einer 
Sicherheitsinformation, die in Abhangigkeit der Information 
sicherheitsgerichtete Ablaufe startet, beispielsweise eine 
Maschine herunterf ahrt oder gar durch Unterbrechen des 
Versorgungsstromes eine Maschine abschaltet. Der 
Sicherheitsanalysator ist im erf indungsgemaSen 
Automatisierungssystem zur Uberprufung und/oder zum 
Verarbeiten von sicherheitsbezogenen Daten, insbesondere 
sicherheitsbezogenen Verknupfungsdaten im Busdatenstrom 
ausgebildet. Dabei sind sicherheitsbezogene Verknupfungsdaten 
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beispielsweise Daten, welche die sicherheitsbezogene 
Steuerung nach der Verarbeitung von sicherheitsbezogenen 
Daten an sicherheitsbezogene Ausgange sendet . 

5 Damit wird ein System bereitgestellt , welches extrem flexibel 
auf die jeweiligen Anforderungen an das 
Automatisierungssystem eingestellt werden kann. 
Beispielsweise kann jeder Sicherheitsbuskomponente ein 
derartiger Sicherheitsanalysator zugeordnet oder auch ein 

10 Sicherheitsanalysator in die Sicherheitskomponente , 
beispielsweise einen Sicherheitsbusteilnehmer selbst 
integriert werden, es ist jedoch auch moglich, daS ein 
einzelner Sicherheitsanalysator die Verarbeitung 
sicherheitsbezogener Daten oder die Uberprufung der 

15 sicherheitsbezogenen Verknupf ungsdaten im Busdatenstrom fur 
mehrere Sicherheitsbuskomponenten oder gar alle 
Sicherheitsbuskomponenten des Systems vornimmt . 

Das Prinzip der Erf indung beruht auf der Erkenntnis des 
20 Erfinders, daS die in heutigen Automat is ierungsanlagen 
eingesetzte Elektronik selbst nur selten ausfallt. Die 
Integration der aktuellen digitalen Sicherheitstechnik in die 
Automat isierungstechnik in Form von Sicherheitssteuerungen 
oder Sicherheitsbussystemen nach dem Stand der Technik hat 
25 hauf ig den Nachteil einer abnehmenden Verf ugbarkeit des 

Systems. Urn diese Ausf allzeiten zu reduzieren, kommen deshalb 
neben den genannten Sicherheitskomponenten auch 
Verf ugbarkeit sstrukturen zum Einsatz, die ihrerseits aber zu 
einer nicht unerheblichen Zunahme der Kosten durch den 
30 erhohten Hardware -Auf wand fuhren. 



Die Erfindung setzt deshalb auf der Zuverlassigkeit heutiger 
Automat is ierungssyst erne auf und integriert eine reine 
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Notfall-Elektronik bzw. -Software, die erst dann aktiv in den 
Betrieb der Anlage eingreift, wenn die Standardtechnik 
fehlerhaft arbeitet. Die Standardsteuerungseinrichtung 
verarbeitet deshalb auch sicherheitsbezogene Daten, d.h. sie 
5 steuert sicherheitsrelevante Ein- und Ausgange. Insbesondere 
die erzeugten sicherheitsbezogenen Verknupfungsdaten itn 
Busdatenstrom werden jedoch votn Sicherheitsanalysator 
abgehort und uberpruft. Dies hat fur den Anwender den 
Vorteil, daS eine strikte Trennung der Sicherheitstechnik und 
10 der Standardtechnik bei der Programmierung nicht mehr 
unbedingt notwendig ist. Das erf indungsgemaSe 
Automatisierungssystem ist auf alle Systeme mit einem Bus, 
insbesondere auf Bussysteme mit Master- Slave - 
Buszugriff sverfahren anwendbar. Unabhangig von der Anordnung 
15 des Sicherheitsanalysators itn Fernbus-Abschnitt kann dieser 
bei einem beispielhaf ten seriellen Bussystem nach EN 50 254 
alle IN-Daten auf dem Bus lesen, der Umfang der mithorbaren 
OUT-Daten hangt jedoch von der Anordnung des 
Sicherheitsanalysators im System ab. Die Bezeichnung 
20 Busdatenstrom bezeichnet dabei erf indungsgemaS alle uber dem 
Bus ubermittelte Inf ormationen, insbesondere auch die in 
einem Summenrahmen uber den Bus transport ierten Daten. 

Urn den einschlagigen Sicherheitsanf orderungen zu genugen, 
25 kann der Sicherheitsanalysator im Ansprechen auf die 
Uberprufung und/oder die Verarbeitung von 
sicherheitsbezogenen Daten, insbesondere von 
Verknupfungsdaten im Busdatenstrom, die notwendigen 
sicherheitsbezogenen Funktionen auslosen. Hierbei kann der 
30 Sicherheitsanalysator sowohl auf OUT-Daten, d.h. 

Verknupfungsdaten der Standardsteuereinrichtung reagieren als 
auch auf IN-Daten, d.h. Inf ormationen im Busdatenstrom, 
welche von einzelnen E/A-Busteilnehmern an die 
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Standardsteuereinrichtung gesendet wurdert. 

Um einen Fehler in sicherheitsbezogenen Verknupf ungsdaten, 
welche uber den Bus transportiert werden, zu erkennen, kann 
5 der Sicherheitsanalysator eine frei programme erbare 

Logikeinrichtung aufweisen, in welcher die abgehorten Daten, 
insbesondere die abgehorten sicherheitsbezogenen Daten 
verarbeitet werden. Auf diese Weise kann der 
Sicherheitsanalysator durch das Nachbilden der 

10 sicherheitsbezogenen Verknupf ungen der Standardsteuerung 

deren als OUT-Daten uber den Bus gesendeten Verknupfungsdaten 
uberprufen und im Ansprechen auf die Uberprufung oder den 
Vergleich notwendige sicherheitsbezogene Funktionen 
ausfuhren. Um die Anlage beispielsweise in einen sicheren 

15 Zustand zu bringen, kann der Sicherheitsanalysator einen 

Ausgang umfassen, uber welchen eine Baugruppe, insbesondere 
ein Busteilnehmer des Automatisierungsbussystems ein- oder 
ausschaltbar ist. Die Abschaltung kann durch Trennen von der 
Spannungsversorgung realisiert werden. Um zusammenhangende 

20 bzw. voneinander abhangende Busteilnehmer in Gesamtheit in 
einen sicheren Zustand zu bringen, kann der 

Sicherheitsanalysator zur Abschaltung eines Busstichs, einer 
mehrere, einander zugeordnete Busteilnehmer umfassende 
Sicherheitsinsel oder zum Abschalten von Komponenten nach 
25 einer im Analysator abgelegten Verrieglungslogik eingerichtet 
sein. Es ist jedoch auch moglich, daS uber den 
sicherheitsbezogenen Ausgang des Sicherheitsanalysators die 
Gesamtanlage von der Spannungsversorgung abgetrennt wird. 

30 Der Sicherheitsanalysator kann sicherheitsbezogene 

Inf ormationen neben dem Abhoren des Busses weiterhin uber 
einen direkten Eingang erfassen, mittels welchem der 
Sicherheitsanalysator mit einer sicherheitsbezogenen 
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Einrichtung des Automat isierungsbus systems verbunden ist. 
Diese Einrichtung kann dabei, muS aber nicht an den Bus 
angeschlossen sein. Beispielsweise umfaSt die so zugangliche 
sicherheitsbezogene Information die Momentandrehzahl der 
5 schon erwahnten Drehmaschine , wobei der Analysator im Falle 
des Uberschreitens einer vorbestimmten Grenzdrehzahl die 
Maschine mittels ihres Ausgangs abschaltet. 

Urn eine Trennung der sicherheitsbezogenen Inf ormationen und 
10 der ProzeSdaten im System und insbesondere in der Steuerung 

durchzufuhren, kann das Bussystem uber eine Anschaltbaugruppe 
mit einem Host verbunden sein, wobei die prozeSbezogene 
Steuerung der Standardsteuereinrichtung im Host und die 
sicherheitsbezogene Steuerung der Standardsteuereinrichtung 
15 in der Anschaltbaugruppe angeordnet ist. Vorteilhaf terweise 

laSt sich die sicherheitsbezogene Steuerung beispielsweise in 
Form von Software- Funktionsbausteinen, welche die notwendigen 
Verknupfungen der sicherheitsrelevanten E/A- Inf ormationen 
vornehmen, realisieren. 

Die sicherheitsbezogene Steuerung kann somit in gleicher 
Weise implementiert werden wie die ProzeSsteuerung. Bei der 
Codierung der sicherheitsbezogenen Verknupfungen ist der 
Programmierer ebenso wie bei der ProzeSsteuerung von der 
verwendeten Programmiersprache unabhangig. 

Die Verknupfungen auf dem Sicherheitsanalysator haben in etwa. 
denselben Umfang wie die Verknupfungen auf dem Host 
beziehungsweise auf der Anschaltbaugruppe und konnen entweder 
in derselben oder aber in einer anderen Programmiersprache 
30 erstellt werden. Der Sicherheitsanalysator fuhrt zusatzlich 
einen Vergleich der Verknupfungen zwischen den Ergebnissen 
des Host-Systems beziehungsweise der Anschaltbaugruppe und 
seinen eigenen durch und startet beispielsweise beim 
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Auftreten von Ungleichheit sicherheitsgerichtete Funktionen. 

Das Abnahmeverf ahren eines solchen Systems kann erheblich 
einfacher erfolgen, als es bei den Systemen nach dem Stand 
5 der Technik der Fall ist . Die Anlage kann mit alien 

Sicherheitsverriegelungen in Betrieb genommen werden, ohne 
die Sicherheitstechnik aktiv geschaltet zu haben. Die 
notwendigen Verknupfungen befinden sich dabei im Host -System 
oder in der Anschaltbaugruppe. Die Funktionsf ahigkeit der 

10 Anlage kann zunachst im Black-Box-Test untersucht werden. In 
einem zweiten Schritt wird dann die Sicherheitstechnik in 
Form der beziehungsweise des Sicherheitsanalysators (en) 
zugeschaltet . Da dort nur die Sicherheitsverknupf ungen, nicht 
aber die ProzeSdatenverknupf ungen vorhanden sind, laJSt sich 

15 nun der White-Box-Test schnell und ubersichtlich durchfuhren, 
wodurch sich die Abnahmezeiten erheblich reduzieren lassen. 
Da die sicherheitsbezogenen Verknupf ungsalgorithmen auch auf 
dem Host-System beziehungsweise der Anschaltbaugruppe 
ablaufen, ist ein Vergleich mit denen des Analysators schnell 

20 moglich. 

Wird der Bus als serieller Ringbus, beispielsweise als Bus 
gemaS EN 502 54 ausgebildet, und ist ein Sicherheitsanalysator 
im Top-Level-Fernbus-Abschnitt des Automatisierungssystems 

25 angeordnet, so hat dieser Zugriff auf alle IN-Daten des 

Systems, da in dem bezeichneten System die Daten in einer 
hin- und in einer ruckf uhrenden Ubertragungsleitung durch 
jeden Busteilnehmer gefuhrt werden. Damit ist der Analysator 
in der Lage, ein auf die IN-Daten und die ihm zuganglichen 

30 Out -Daten beschranktes ProzeSabbild aufzubauen. 

Bei Bussystemen mit Linientopologie kann der 

Sicherheitsanalysator in der Regel an jedem Ort im Bussystem 
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alle Information mitlesen und damit ein vollstandiges 
ProzeSabbild anlegen. 

In einer vorteilhaf ten Ausfuhrungsf orm der Erfindung ist der 
Sicherheitsanalysator in einem seriellen Ringbussystem direkt 
nach dem Host oder der Anschaltbaugruppe angeordnet, so daS 
dieser ein vollstandiges Proze&abbild aufbauen kann. Somit 
ist der Sicherheitsanalysator in der Lage jederzeit und in 
vollem Urnfang sicherheitsgerichtete Daten, insbesondere 
sicherheitsgerichtete Verknupfungsdaten auf ihre Richtigkeit 
zu uberprufen beziehungsweise zu verarbeiten, da in diesem 
Fall der Analysator Zugriff auf alle In- und Out-Daten, d.h. 
alle Eingangs- und Ausgangsdaten besitzt. 

1st der Sicherheitsanalysator in der Anschaltbaugruppe des 
beschriebenen seriellen Ringbus systems angeordnet, so kann 
die Funktion des Sicherheitsanalysators mittels einer 
Softwarekomponente in der Anschaltbaugruppe ausgefuhrt sein. 
vorteilhafterweise weist die Anschaltbaugruppe hierbei einen 
sicherheitsbezogenen Ausgang auf, urn entsprechende 
sicherheitsgerichtete Funktionen, beispielsweise das 
Abschalten einer Versorgungsspannung mittels eines Schutzes 
auszufuhren. 

Das Ausfuhren derartiger sicherheitsgerichteter Funktionen 
kann' jedoch in einer besonderen vorteilhaf ten Ausfuhrungsf orm 
der Erfindung durch direkte Datenmanipulation des 
Busdatenstroms durch den Sicherheitsanalysatord realisiert 
werden. Das Manipulieren umfafct das Umschreiben, das 
Erganzen, das Einfugen sowie das Substituieren sowohl von 
OUT-Daten als auch von IN-Daten des Busdatenstroms. Bei 
Kenntnis des ProzeSabbildes kann somit der 

Sicherheitsanalysator in weitreichender Form auf den Betrieb 
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des erf indungsgemafien Automat isierungs systems EinfluiS nehmen 
und damit sicherstellen, daS die Anlage zu jedem Zeitpunkt in 
definierten Zustanden gehalten werden kann. Das Prinzip der 
Datenmanipulation kann weiterhin auch dazu benutzt werden, urn 
einen in einem im Busstich angeordneten Sicherheitsanalysator 
im allgemeinen nicht zugangliche Busdatenstromanteile 
verfugbar zu machen, indem ein im Fernbus angeordneter 
Sicherheitsanalysator die betreffenden Daten in Daten 
wandelt, welche in den betreffenden Busstich transportiert 
werden. Auf diese Weise ist eine direkte Datenverbindung 
zwischen Sicherheitsanalysatoren realisiert. 

Die Datenmanipulation durch einen Sicherheitsanalysator kann 
in einem nach dem Master-Slave-Prinzip arbeitenden Bussystem 
auch verwendet werden, urn Daten zwischen zumindest zwei 
Slaves, insbesondere zwischen einzelnen Busteilnehmern, 
mittels einer Punkt - zu- Punk t- Verb indung uber wenigstens einen 
Sicherheitsanalysator zu ubertragen, wobei der 
Sicherheitsanalysator Daten im Busdatenstrom umkopiert . Der 
Master ist bei dieser Daten-Verbindung je nach Lage der 
beiden Slaves im Bussystem unter Umstanden nicht eingebunden, 
so daS der Datentransport vollig unabhangig vom Busmaster 
realisiert wird. Eine derartige Datenverbindung zwischen zwei 
Slaves ist im ubrigen auch durch die Ausfuhrung einer 
Kopierfunktion durch den Busmaster moglich. Wahrend bei einem 
Sicherheitsanalysator als Mittler, wie vorstehend 
beschrieben, zumindest in bestimmten Fallen der Busmaster 
nicht in den Datentransport eingebunden ist, ist der 
Busmaster fur die zweite Form einer Punkt -zu- Punkt -Verb indung 
zwischen zwei Slaves zwingend notwendig. 

Das Austauschen von Daten zwischen zumindest zwei Slaves, 
beispielsweise zwischen einzelnen Busteilnehmern, mittels 
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einer Punkt-zu-Punkt-Verbindung kann weiterhin auch durch die 
Einbindung des Masters oder der Steuerung in die Ubertragung 
realisiert werden, wobei in diesem Fall der Master bzw. die 
Steuerung die Daten im Busdatenstrom umkopiert. 

Zur Erhohung der Datensicherheit konnen die 

sicherheitsbezogenen Daten in einem Sicherheitsprotokoll uber 
den Bus ubertragen werden. Beispielsweise kann das 
Sicherheitsprotokoll zusatzlich zu dem Sicherheitsdatum das 
negierte Sicherheitsdatum, eine laufende Nummer, eine Adresse 
und/oder eine Datensicherungsinf ormation (CRC) umfassen. 



Die Flexibilitat des Systems zeigt sich insbesondere in einer 
weiteren vorteilhaf ten Ausf uhrungsf orm der Erfindung, bei 
15 welcher das erf indungsgemaSe Automatisierungssystem mehrere 
Sicherheitsanalysatoren umfaSt, wobei in einem 
Sicherheitsanalysator ablaufende sicherheitsbezogene 
Verknupfungen redundant in wenigstens einem weiteren 
Sicherheitsanalysator durchgefuhrt werden und durch beide 
20 Sicherheitsanalysatoren zumindest teilweise die gleichen 

Sicherheitsfunktionen ausgefuhrt und ausgelost werden. Dabei 
konnen die betreffenden Sicherheitsanalysatoren zusatzlich zu 
den redundant en, d.h. auf beiden Analysatoren ablaufenden 
Verknupfungen auch unterschiedliche sicherheitsbezogenen 
25 Verknupfungen ausfuhren. 

Die Erfindung wird im folgenden durch das Beschreiben einiger 
Ausfuhrungsformen unter Zugrundelegen der Zeichnungen 
erlautert, wobei 
30 Fig. 1 in einer Prinzipdarstellung eine erste 

Ausfuhrungsform des erf indungsgemaSen 

Automatisierungssystems mit zwei 

Sicherheitsanalysatoren im Fernbus-Abschnitt zeigt, 
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Fig. 2 in einer Prinzipskizze eine weitere Ausf uhrungsf orm 
der Erfindung darstellt, wobei ein 
Sicherheitsanalysator direkt hinter der 
Anschaltbaugruppe angeordnet ist, 

Fig. 3 das erf indungsgemaSe Automatisierungssystem in 
einer Prinzipskizze mit einem in die 
Anschaltbaugruppe integrierten 
Sicherheitsanalysator sowie einem zweiten 
Sicherheitsanalysator am Kopf eines Busstichs 
zeigt, 

Fig. 4 ein erf indungsgemaSes Automatisierungssystem mit 

zwei Sicherheitsanalysatoren darstellt, wobei deren 

Ausgange miteinander verbunden sind, 
Fig. 5 in einer prinzipiellen Blockbilddarstellung einen 

Sicherheitsanalysator mit verschiedenen Ein- und 

Ausgangen zeigt und 
Fig. 6a und 6b in einer Prinzipdarstellung die 

Datenmanipulation des Busdatenstroms durch den 

Sicherheitsanalysator zeigt. 



In Fig. 1 ist in einer Prinzipdarstellung das 
erf indungsgemaSe Automatisierungssystem 1, d.h. eine Steuer- 
und Datenubertragungsanlage gemaS der Erfindung dargestellt. 
Es umfaSt einen Bus 2, an welchen E/A-Busteilnehmer mit 
zugeordneten Sensoren und Aktoren angeschlossen sind. Eine 
Standardsteuerungseinrichtung 4 fuhrt uber den Bus die 
ProzeSsteuer\ong mit der Verarbeitung von prozeSgebundenen 
E/A-Daten durch. Hierzu empfangt die Steuerung 4 Daten von 
den einzelnen Busteilnehmern 31-38, die wiederum selbst von 
der Standardsteuerungseinrichtung Daten empfangen. Weiterhin 
ist die Standardsteuerungseinrichtung mit der Verarbeitung 
von sicherheitsbezogenen Daten bef aSt . In diesem Sinne 
ubernimmt die Standardsteuerungseinrichtung neben den 
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prozefcgebundenen Ein- und Ausgangen auch die Verarbeitung der 
sicherheitsrelevanten Ein- und Ausgange. Gemafi der Erfindung 
bezeichnet ein sicherheitsbezogener Eingang eine 
Informationsquelle, wobei die durch die Quelle abgegebene 
5 Information in irgendeinem Zusammenhang zur Sicherheit des 
erf indungsgemafcen Automatisierungssystems steht. 
Beispielsweise ist der Drehzahl sensor einer Drehmaschine, 
welche uber einen Busteilnehmer 32 an den Bus 2 angeschlossen 
ist, ein derartiger sicherheitsrelevanter Eingang, da die 
10 Maschine nicht uber eine vorgegebene Grenze drehen darf . Ein 
weiteres Beispiel fur einen sicherheitsbezogenen Eingang in 
der beschriebenen Ausfuhrungsf orm der Erfindung ist ein 
Photodetektor einer Lichtschranke , mit welcher der 
Arbeitsbereich der Drehmaschine uberwacht wird. Auch in 
15 diesem Fall besitzt die Standardsteuerungseinrichtung uber 

den Bus Zugriff auf die Information des sicherheitsbezogenen 
Eingangs. Nach der Verarbeitung der sicherheitsbezogenen 
Daten, beispielsweise in Form einer logischen Verknupfung 
sendet die Steuerungseinrichtung 4 diese sicherheitsbezogenen 
20 verknupfungsdaten an sicherheitsbezogene Ausgange. 

Beispielsweise kann die standardsteuerungseinrichtung einen 
Abschaltbefehl fur die erwahnte Drehmaschine uber den Bus zum 
zugeordneten Busteilnehmer 32 absenden, wenn die 
Hochst drehzahl uberschritten wurde und damit eine Gefahr 
25 besteht, daS die Anlage auSer Kontrolle gerat. Auch in diesem 
Fall kommuniziert die sicherheitsbezogene Steuerung in der 
Standardsteuerungseinrichtung uber den Bus mit dem 
sicherheitsbezogenen Ausgang. 

30 Das erfindungsgemi.Se Automatisierungssystem umfaSt femer 
zwei Sicherheitsanalysatoren 5, 5', welche jeweils mittels 
einer Schnittstelle den DatenfluS uber das Bussystem in 
Echtzeit mithoren. Die Sicherheitsanalysatoren sind zum 
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Verknupfen und/oder Verarbeiten von sicherheitsbezogenen 
Daten im Busdatenstrom eingerichtet . Dies bedeutet, daS sie 
sicherheitsbezogene Verknupfungen der 

Standardsteuerungseinrichtung nachvoll Ziehen konnen, da ihnen 
5 die uber den Bus transportierten sicherheitsbezogenen Daten 
zuganglich sind. 

Hierzu weisen die Sicherheitsanalysatoren 5, 5' jeweils eine 
frei programmierbare Logikeinrichtung auf, in welcher die 

10 abgehorten Daten, insbesondere die abgehorten 

sicherheitsbezogenen Daten verarbeitet werden. Beispielsweise 
konnen die Sicherheitsanalysatoren 5, S x durch Nachbilden der 
sicherheitsbezogenen Verknupfungen der Standardsteuerung 
deren als Ausgangsdaten uber den Bus gesendeten 

15 Verknupfungsdaten uberprufen. In vorliegendem Fall beziehen 
sich die sicherheitsbezogenen Verknupfungen auf einen 
einzelnen Busteilnehmer 32. In diesem Fall ist der 
Sicherheitsanalysator 5 fur die sicherheitsbezogenen Ein- 
bzw. Ausgange, welche diesen Busteilnehmer zugeordnet sind, 

20 zustandig. In der in Fig. 1 dargestellten Ausfuhrungsf orm der 
Erfindung sind die Sicherheitsanalysatoren 5 bzw. 5 1 keine 
logischen Busteilnehmer des Automatisierungssystems . Der 
Sicherheitsanalysator 5 weist jedoch einen 
sicherheitsbezogenen Ausgang 6 auf, uber welchen der dem 

25 Sicherheitsanalysator zugeordnete Busteilnehmer 32 

ausgeschaltet werden kann. Dies geschieht mittels einer 
Schaltung eines Schutzes 7 f welcher den Busteilnehmer bzw. 
die angeschlossenen Baugruppen und Maschinen von der 
Versorgungsspannung trennt . Auf diese Weise f uhrt der 

30 Sicherheitsanalysator 5 im Ansprechen auf die Uberprufung 
oder den Vergleich eine sicherheitsbezogene Funktion, hier 
das Abschalten der Versorgungsspannung aus . Wenn 
beispielsweise ein Fehler der sicherheitsbezogenen 
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Verknupfungsdaten aus der Standardsteuereinrichtung erkannt 
wird, kann der Sicherheitsanalysator uber den beschriebenen 
Ausgang den betroffenen Busteilnehmer abschalten, da die 
sicherheitsbezogene Steuerung durch die 
Standardsteuerungseinrichtung nicht mehr vorgabegemaS 
arbeitet. In ahnlicher Weise wird ein Busteilnehmer 
abgeschaltet, wenn die sicherheitsbezogene Steuerung nicht 
notwendige Daten an den Busteilnehmer sendet und 
infolgedessen Gefahr besteht, dafi die Anlage in einen 
undef inierten Zustand gerat . 

In der beschriebenen Aus fuhrungs form ist uber einen 
Buskoppler 9 ein Lokalbusstich 8 mit drei Busteilnehmern 33, 
34 und 35 angeordnet. Diese Busteilnehmer sind von der 
Funktionfahigkeit und vom Betrieb des Busteilnehmers 32 
abhangig, welcher dem Sicherheitsanalysator 5 zugeordnet ist. 
Demnach ist es notwendig, beim Abschalten des Busteilnehmers 
32 auch die Busteilnehmer des Lokalbusstichs 8 von der 
Versorgungsspannung zu trennen. Diese Verrieglungslogik ist 
im Sicherheitsanalysator 5 abgelegt. Somit sind insgesamt 
vier Busteilnehmer mit ihren nachgeordneten Baugruppen und 
Maschinen abzuschalten, was in Fig. 1 schematisch durch einen 
Vierfach-Schutz 7 dargestellt ist. 

Der Sicherheitsanalysator 5- ist wie der erste 
Sicherheitsanalysator 5 zum Abhor en der uber den Bus - 
transportierten Daten eingerichtet . Im Gegensatz zum ersten 
Sicherheitsanalysator 5 weist er jedoch keinen Ausgang auf, 
mit welchem er sicherheitsbezogene Funktionen ausfuhren kann. 
) Statt dessen umfaSt er einen sicherheitsbezogenen Eingang 10, 
uber welchen der Sicherheitsanalysator mit einer 
sicherheitsbezogenen Einrichtung 11 des 
Automatisierungssystems zur Erfassung von 
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sicherheitsbezogenen Daten verbunden ist. Im vorliegenden 
Fall umfaSt diese Einrichtung 11 einen Photodetektor, welcher 
als Teil einer Lichtschxanke den Arbeit sbereich eines 
SchweiEroboters uberwacht . Der Sensor ist nicht mittels eines 
Busteilnehmers an den Automat isierungsbus angeschlossen, 
sondern direkt an den Sicherheitsanalysator 5 • . Im Ansprechen 
auf die uber den sicherheitsbezogenen Eingang 10 des 
Sicherheitsanalysators 5- erfaSten sicherheitsbezogenen Daten 
fuhrt auch hier der Sicherheitsanalysator eine 
sicherheitsbezogene Funktion aus. Wird durch den 
Photodetektor 11 das Eindringen einer Person in den 
Arbeit sbereich des Roboters erfaSt, so schaltet der 
Sicherheitsanalysator 5 1 den entsprechenden Busteilnehmer 38 
und seine zugeordneten Baugruppen und den Roboter selbst aus. 
Hierzu weist der Sicherheitsanalysator 5- eine Einrichtung 
zum Manipulieren der auf den Bus ubertragenen Eingangs- und 
Ausgangsdaten auf. Dabei kann zumindest ein Datum des 
Datenstroms uberschrieben, geloscht und/oder zumindest ein 
Datum in den Busdatenstrom eingefiigt werden. Ein derartiger 
Vorgang ist in den Fig. 6a und 6b veranschaulicht . Diese 
Figuren zeigen das Veranden von Eingangs- bzw. Ausgangsdaten 
der Standardsteuereinrichtung 4 durch den 
Sicherheitsanalysator 5'. In beiden Fallen wird eine 
Informationseinheit 12 in einen Speicher des 
Sicherheitsanalysators eingelesen und daraufhin an die 
entsprechende Stelle des Datenstroms eine aus einem anderen 
Speicher des Sicherheitsanalysators entnommene 
Informationseinheit eingeschrieben. Die Abschaltung des 
Busteilnehmers und der daran angeschlossenen Baugruppen und 
damit des Roboters kann sowohl uber die Manipulation der 
Eingangsdaten als auch uber die Manipulation der 
Ausgangsdaten der Standardsteuereinrichtung vorgenommen 
werden. Wird beispielsweise der Eingangsdatenstrom derartig 
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verandert, daS der Standardsteuerungseinrichtung 4 ein 
Betriebsparameter aufierhalb der vorgegebenen Grenzen gemeldet 
wird, so schaltet die standardsteuerungseinrichtung uber den 
Bus mittels eines dem bestimmten Busteilnehmer 38 
ubermittelten sicherheitsbezogenen Verknupfungs da turns diesen 
Busteilnehmer und damit den SchweiSroboter ab. In gleicher 
Weise kann der Sicherheitsanalysator eine Freigabe durch 
Standardsteuereinrichtung mittels Uberschreiben des 
entsprechenden Ausgangsdatums ruckgangig machen. 

Fig. 6b zeigt den Fall, daS der Sicherheitsanalysator den 
Ausgangsdatenstrom auf dem Bus verandert. In diesem Fall 
manipuliert der Sicherheitsanalysator die an den 
Busteilnehmer 3 8 gesendeten Daten derartig, daS der 
Busteilnehmer seinen Ausgang und damit auch den 
SchweiSroboter abschaltet. 

Fig. 2 zeigt eine weitere Ausfuhrungsf orm der Erfindung. 
Dabei ist der Bus ein nach dem Master-Slave-Prinzip 
arbeitendes System, wobei die Standardsteuerungseinrichtung 
als Master und die einzelnen Busteilnehmer als Slaves 
fungieren. Das Bussystem ist uber eine Anschaltbaugruppe 41 
mit einem Host 40 verbunden, wobei die prozeSbezogene 
Steuerung im Host und die sicherheitsbezogene Steuerung in 
der Anschaltbaugruppe angeordnet ist bzw. ablauft. Die Anlage 
umfaSt einen einzelnen Sicherheitsanalysator 5, der direkt 
hinter die Anschaltbaugruppe zum Abhoren des Busdatenstroms 
an dem Bus angekoppelt ist. Durch diese MaSnahme wird 
sichergestellt, daS der Sicherheitsanalysator an dem 
seriellen Bus mit Ringstruktur den gesamten Eingangs- als 
auch den gesamten Ausgangs-Datenstrom auf dem Bus abhoren 
kann. Aufgrund der Erkenntnis des gesamten Datenstroms uber 
den Bus legt der Sicherheitsanalysator 5 in der beschriebenen 
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Ausfuhrungsform ein vollstandiges ProzeSabbild in einem dafur 
vorgesehenen Speicher ab. Demzufolge ist der 
Sicherheitsanalysator in der Lage, die Gesamtheit der 
sicherheitsbezogenen Verknupfungsdaten der 

sicherheitsbezogenen Steuerung in der Anschaltbaugruppe zu 
uberprufen und bei Bedarf , d.h. beim Auftreten eines Fehlers, 
den Ausgang 6 zum Abschalten der Gesamtanlage mittels des 
Schutzes 7 sicherheitsgerichtet derart anzusteuern, daS die 
Versorgungsspannung fur die Gesamtanlage ausgeschaltet wird. 

Eine Modifikation der in Fig. 2 dargestellten Ausfuhrungsform 
zeigt das erf indungsgemaSe Automat isierungs system in Fig. 3. 
Der Sicherheitsanalysator 5 ist hier in die Anschaltbaugruppe 
41 integriert. Die sicherheitsbezogene Steuerung der 
Standardsteuerungseinrichtung als auch die 
sicherheitsbezogene Datenverarbeitung des 

Sicherheitsanalysators laufen in der Anschaltbaugruppe in 
getrennten und unabhangigen Logikbausteinen ab. Weiterhin ist 
ein zweiter Sicherheitsanalysator 5 • ' am Kopf des 
Lokalbusstichs 8 angeordnet. Diese Anordnung bedingt 
wiederum, daS der Sicherheitsanalysator 5 ' ' die Gesamtheit 
aller Eingangs- als auch der Ausgangsdaten fur die 
Busteilnehmer 33, 34 und 35 des Lokalbusstich 8 abhoren kann 
und demgemaS ein vollstandiges ProzeSabbild fur den 
ProzeSablauf innerhalb des Lokalbusstichs anzulegen. Der 
Sicherheitsanalysator 5'' ist somit wie der 

Sicherheitsanalysator 5 im Fernbus-Abschnitt in der Lage, die 
Gesamtheit der sicherheitsbezogenen Verknupfungsdaten der 
sicherheitsbezogenen Steuerung fur den Lokalbusabschnitt in 
der Anschaltbaugruppe zu uberprufen und bei Bedarf wie oben 
stehend beschrieben, uber eine Datenmanipulation die 
notwendigen sicherheitsbezogenen Funktionen auszulosen. Auf 
diese Weise lassen sich hochste Sicherheitsanf orderungen, die 
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an die itn Busstich 8 vorliegenden sicherheitsrelevanten Ein- 
und Ausgange gestellt sind, erfullen, da der Lokalbusstich 8 
sowohl durch die sicherheitsbezogene Steuerung der 
Standardsteuereinrichtung als auch durch den 
5 sicherheitsanalysator 5 und durch den Sicherheitsanalysator 
5'" abgesichert ist. 

Eine weitere Ausfuhrungsf orm der Erfindung zeigt Fig. 4. Das 
erfindungsgemaSe Automat isierungssystem umfa&t. zwei 
10 Sicherheitsanalysatoren 5 und 5 ' , deren sicherheitsbezogenen 
Ausgange 6 und 6' miteinander gekoppelt sind. Beide Ausgange 
steuern eine Vielf ach-Schiitzeinrichtung 7 zum Abschalten der 
Versorgungsspannung fur das Gesarnt system. Die Anlage wird 
durch eine Standardsteuerungseinrichtung 4 uber den seriellen 
15 Bus 2 gesteuert. Der Sicherheitsanalysator 5 kann aufgrund 

seiner Anordnung im System die Gesamtheit aller Eingangs- und 
Ausgangsdaten auf dem Bus abhoren, ausgenommen die 
Eingangsdaten des ersten Busteilnehmers 31, der zwischen der 
Steuerungseinrichtung 4 und dem Sicherheitsanalysator 5 
20 angeordnet ist. Der Sicherheitsanalysator 5> kann alle 

Eingangsdaten am Bus abhoren, alle Ausgangsdaten aufier die 
fur den letzten Busteilnehmers sind ihm jedoch nicht 
zuganglich. Der erste Sicherheitsanalysator 5 ist deshalb 
durch Umkopieren der betref fenden Daten im Busdatenf lufi in 
25 der Lage, die ihm zuganglichen Ausgangsdaten in Eingangsdaten 
umzukopieren und somit die dem Sicherheitsanalysator 5' 
eigentlich nicht zuganglichen Ausgangsdaten zum Anlegen eines 
Proze&abbildes fur den abzusichemden sicherheitsbezogenen 
Busteilnehmer 32 auch dem Sicherheitsanalysator 5' verfugbar 
30 zu machen. Da beide Sicherheitsanalysatoren dieselbe 

Eingangsinformation erhalten, konnen sie sich im Hinblick auf 
die sicherheitsbezogenen Ein- bzw. Ausgange des 
abzusichemden Busteilnehmers 32 uberwachen. Auf diese Weise 
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ist eine verteilte Redundanz der Sicherheitstechnik im 
erf indungsgemaSen Automat isierungssyst em realisiert. Im 
vorliegenden Beispiel weist der Sicherheitsanalysator 5 1 
weiterhin einen sicherheitsbezogenen Eingang 10 auf, an 
5 welchen ein Notschalter 13 angeschlossen ist. Auf das 
SchlieSen des Notschalters 13 spricht der 

Sicherheitsanalysator 5' mit der im Sicherheitsanalysator 
zugeordneten sicherheitsbezogenen Funktion an, namlich dem 
Offnen des Schutzes 7 zur Abschaltung der Gesamtanlage . 

10 

Das beschriebene Verfahren des Umkopierens von Eingangsdaten 
in Ausgangsdaten und umgekehrt wird erf indungsgemaS auch dazu 
benutzt, urn eine Datenverbindung in dem nach dem Master- 
Slave- Prinzip arbeitenden Automatisierungssystem zwischen 

15 zwei Slaves zu realisieren ohne daS der Master fur die 

Datenubermittlung benotigt wird. Hierbei kann beispielsweise 
ein einem Busteilnehmer zugeordneter Sicherheitsanalysator 
das zu ubermittelnde Datum des Busteilnehmers in den 
Eingangs-Datenstrom einfugen und somit einem nachf olgenden 

20 Busteilnehmer ohne die Beanspruchung des Masters zur 

Verfugung stellen. Auf diese Weise laSt sich bei Bedarf auch 
auf einfache Weise ein Multi- oder Broadcast der Information 
zu alien ubrigen nachf olgenden Busteilnehmem verwirklichen. 

25 In einer nichtdargestellten Ausfuhrungsf orm der Erfindung ist 
der Sicherheitsanalysator in einem zugeordneten 
sicherheitsgerichteten Busteilnehmer integriert . Die 
sicherheitsgerichteten Verknupfungen laufen dabei in einer 
Logikeinheit des Busteilnehmers ab, somit laSt sich im 

30 Busteilnehmer eingebaute Intelligenz fur die 

sicherheitsgerichteten Verknupfungen nutzen. Da der 
Busteilnehmer eine Busschnittstelle auf weist, veringert sich 
der zusatzliche Hardwareaufwand fur den Sicherheitsanalysator 
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betrachtlich. 
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Bei der Datenubertragung in den beschriebenen 
erfindungsgemafien Automatisierungssystemen werden zumindest 
teilweise die sicherheitsbezogenen Daten in einera 
Sicherheitsprotokoll uber den Bus ubertragen. Dieses 
Sicherheitsprotokoll kann je nach Anforderung zusatzlich zum 
Sicherheitsdatum das negierte Sicherheitsdatum, eine Adresse 
und/oder eine Datensicherungsinf ormation in Form eines CRC 
umfassen. Auf diese Weise lassen sich Fehler bei der 
Datenubertragung leicht erkennen. Zu diesem Zweck wird ein im 
erfindungsgemafcen Automat isierungssystem verwendeter 
Sicherheitsanalysator derartig eingerichtet , daS er das 
Sicherheitsprotokoll lesen und entsprechend auswerten kann. 

15 

Mittels der im Sicherheitsprotokoll ubertragene Adresse des 
Sicherheitsbusteilnehmers kann der Sicherheitsanalysator bei 
geandertem Busaufbau, beispielsweise durch 
sicherheitsbezogene Abschaltung der Komponente, eine 

20 Anpassung der Programmierung vornehmen bzw. den Datensatz des 
ihm zugeordneten Teilnehmers erkennen und die Veranderung des 
Busaufbaus berucksichtigen. Zusatzlich kann durch die 
Aufnahme der Adresse in das Sicherheitsprotokoll ein 
Ablagefehler durch einen Busfehler oder einen Ausfall einer 

25 dezentralen Einheit erfaSt werden. 

Eine besondere Ausf uhrungsf orm eines Sicherheitsanalysators 
zur Verwendung im erf indungsgemaSen Automat isierungssystem 
zeigt Fig. 5. Der dargestellte Sicherheitsanalysator 5 weist 
30 sowohl 4 sicherheitsgerichtete Eingange 10 zur Erfassung 

sicherheitsgerichteter Information von Photodetektoren 11 als 
auch 4 sicherheitsgerichtete Ausgange 6 zum Abschalten der 
Versorgungsspannung von 4 Automatisierungsbuskomponenten 
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durch Schutze auf. Die verschiedenen sicherheitsgerichteten 
Ausgange 6 werden dabei im Ansprechen auf die itn 
Sicherheitsanalysator ablaufenden Verknupf ungen, den 
Vergleich mit sicherheitsgerichteten Verknupfungen der 
Standardsteuerung und/oder eine sicherheitsbezogene 
Eingangs information uber den Eingang 10 angesteuert. Hierbei 
ist eine Verrieglungslogik im Sicherheitsanalysator abgelegt, 
die vorgibt, welche sicherheitsgerichteten Funktionen beim 
Auftreten eines bestimmten Fehlers ausgeldst werden, d.h. 
welche Komponenten beim Auftreten des Fehlers von der 
Versorgungsspannung abgetrennt werden mussen. 

Es liegt im Rahmen der Erfindung, daS ein 
Sicherheitsanalysator neben der Verarbeitung von 
sicherheitsbezogenen Daten auch eine ProzeEdatenverarbeitung 
durchf uhrt . 

Weiterhin ist f estzuhalten, dafi das Prinzip der Erfindung 
nicht auf die in den Ausfuhrungsbeispielen dargestellten 
Automatisierungsbussysteme beschrankt ist, sondern statt 
dessen auf alle Automatisierungsanlagen mit einem Bus 
angewendet werden kann. 
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Patentsnscriche ; 

1. Automatisierungssystem (1), zumindest umfassend 
ein Bus system (2) , daran 

angeschlossene E/A-Busteilnehmer (31-3 8) und 
eine standardsteuerungseinrichtung (4; 40, 41), 
sowie wenigstens 

einen Sicherheitsanalysator (5, 5", 5 X% ), 
welcher den DatenfluS uber das Bussystem mithort und 
zum Ausfuhren zumindest einer sicherheitsbezogenen 
Funktion ausgebildet ist, 
dadurch gekennzeichnet , daS 

die standardsteuerungseinrichtung zumindest einen 
sicherheitsbezogenen Ausgang steuert und daS 
der Sicherheitsanalysator zum Uberprufen und/oder 
Verarbeiten von sicherheitsbezogenen Daten im 
Busdatenstrom eingerichtet ist. 

2. Automatisierungssystem (1) nach Anspruch 1, 

dadurch gekennzeichnet, daS der Sicherheitsanalysator 
(5, 5', 5") eine frei programmierbare Logikeinrichtung 
aufweist, welche die abgehorten Daten, insbesondere die 
abgehorten sicherheitsbezogenen Daten verarbeitet. 

3. Automatisierungssystem (1) nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5, 5*, 5") kein logischer 
Busteilnehmer des Aut omat is ierungs systems (1) ist und 
dieser zumindest einen sicherheitsbezogenen Ausgang (6) 
aufweist, uber welchen wenigstens eine dem 
Sicherheitsanalysator zugeordnete Baugruppe des 
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Automatisierungssystems, insbesondere wenigstens ein 
Busteilnehmer (31-38), ein- Oder ausschaltbar ist. 

4. Automatisierungssystem (1) nach Anspruch 3, 
dadurch gekennzeichnet , daS 

der Sicherheitsanalysator (5, 5', 5**) zur Abschaltung 
einer Sicherheitsinsel , eines Busstichs (8) und/oder der 
Gesamtanlage eingerichtet ist. 

5. Automatisierungssystem (1) nach einem der Anspruche 1 
bis 4, dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (S x ) zumindest einen 
sicherheitsbezogenen Eingang (10) aufweist, uber welchen 
der Sicherheitsanalysator mit einer sicherheitsbezogenen 
Einrichtung (11) des Automatisierungssystem zur 
Erfassung von sicherheitsbezogenen Daten verbunden ist. 

6. Automatisierungssystem (1) nach einem der Anspruche 1 
bis 5, dadurch gekennzeichnet, daS 

das Bussystem (2) uber eine Anschaltbaugruppe (41) mit 
einem Host (4 0) verbunden ist, 

wobei die prozeSbezogene Steuerung im Host und die 
sicherheitsbezogene Steuerung in der Anschaltbaugruppe 
angeordnet ist . 

7. Automatisierungssystem (1) nach einem der Anspruche 1 
bis 6, dadurch gekennzeichnet, dafi 

der Bus (2) ein serieller Bus ist und zumindest ein 
Sicherheitsanalysator .(5, 5*) im Fernbus-Abschnitt des 
Automatisierungssystems angeordnet ist. 

'8. Automatisierungssystem (1) nach Anspruch 7, 
dadurch gekennzeichnet, daS 
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ein Sicherheitsanalysator (5) direkt nach dem Host (40) 
oder der Anschaltbaugruppe (41) angeordnet ist . 



9 . 



10 



10 



Automatisierungssystem (1) nach einem der Anspruche 1 
bis 8, dadurch gekennzeichnet , daS 

ein Sicherheitsanalysator (5) in der Anschaltbaugruppe 
(41) angeordnet ist. 

Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 9, dadurch gekennzeichnet, daS der 
Sicherheitsanalysator (5, 5*, 5") eine 
Speichereinrichtung zum Anlegen eines ProzeSabbildes 

umf aSt . 

15 11- Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 10, 
dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5, 5', 5-) eine Einrichtung 
zum Manipulieren des auf dem Bus (2) ubertragene 
Datenstroms, insbesondere der Eingangs- und/oder 
Ausgangsdaten, aufweist. 

12. Automatisierungssystem (1) nach Anspruch 11, 
dadurch gekennzeichnet, dafi 

die Einrichtung Eingangs- und/oder Ausgangsdaten 
uberschreibt und/oder Daten in den Datenstrom einfugt. 

13. Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 12 , 

30 dadurch gekennzeichnet, daS 

zumindest ein Sicherheitsanalysator (5, 5*, 5") 
redundant aufgebaut ist. 
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14. Verfahren zum Betrieb einer Automatisierungssys terns, 
insbesondere eines Automat isierungssystems (1) nach 
einera der Anspruche 1 bis 13, 
dadurch gekennzeichnet, daS durch die 
Standardsteuerungseinrichtung (4; 40, 41) die 
ProzeSsteuerung mit der Verarbeitung von 
prozeSgebundenen E/A-Daten und eine sicherheitsbezogene 
Steuerung mit der Verarbeitung von sicherheitsbezogenen 
Daten durchgefuhrt wird und weiterhin eine Verarbeitung 
sicherheitsbezogener Daten auf zumindest einem 
Sicherheitsanalysator (5, 5', 5'*) durchgefuhrt wird, 
wobei im Sicherheitsanalysator sicherheitsbezogene 
Daten, insbesondere sicherheitsbezogene 
Verknupfungsdaten im Busdatenstrom verarbeitet werden. 

15. Verfahren nach Anspruch 14, 
dadurch gekennzeichnet, daS 

in einem Sicherheitsanalysator (5, 5 % , 5'M ein 
Vergleich der uber den Bus iibertragenen 
sicherheitsbezogenen Verknupfungsdaten der 
Standardsteuerungseinrichtung (4, 41) und/oder zumindest 
eines weiteren Sicherheitsanalysators (5, 5 X , 5") mit 
den entsprechenden Verknupf ungsdaten des ersten 
Sicherheitsanalysators durchgefuhrt wird. 

16. Verfahren nach einem der Anspruche 14 oder 15, 
dadurch gekennzeichnet, daS 

die durch die Standardsteuerung (4, 41) erzeugten und 
als Ausgangsdaten uber den Bus gesendeten 
Verknupfungsdaten in zumindest einem 

Sicherheitsanalysator (5, 5', 5") durch Nachbilden der 
sicherheitsbezogenen Verknupf ungen der 
Standardsteuerung (4, 41) uberpruft werden. 
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17. Verfahren nach einetn der Anspruche 14 bis 16, 
dadurch gekennzeichnet , daS 

im Ansprechen auf die Uberprufung oder den Vergleich 
5 durch den Sicherheitsanalysator (5, 5 X , 5*') 

sicherheitsbezogene Funktionen ausfuhrt werden. 

18. Verfahren nach einem der Anspruche 14 bis 17, 
dadurch gekennzeichnet, dafi 

L0 im Ansprechen auf die uber den sicherheitsbezogenen 

Eingang (10) des Sicherheitsanalysators (5*) erfaSten 
sicherheitsbezogenen Daten der Sicherheitsanalysator 
sicherheitsbezogene Funktionen ausfuhrt. 

15 19. Verfahren nach Anspruch 18, 
dadurch gekennzeichnet, daS 

das Ausfuhren einer sicherheitsbezogenen Funktion das 
Ein- oder Ausschalten zumindest einer Baugruppe des 
Automat isierungsbus systems, insbesondere eines 
20 Busteilnehmers (32-38) umf a&t . 

20. Verfahren nach einem der Anspruche 14 bis 19, 
dadurch gekennzeichnet, da£ 

der Sicherheitsanalysator (5', 5*M mittels einer 
25 Einrichtung zum Manipulieren des Datenstroms auf dem Bus 

(2) zumindest ein Datum des Datenstroms uberschreibt , 
loscht und/oder zumindest ein Datum in den Bus- 
Datenstrom einf ugt . 

30 21. Verfahren nach der Anspruch 20, 
dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5, 5', 5-) den abgehorten 
Datenstrom zumindest teilweise abspeichert und 
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Eingangsdaten des Bus-Datenstroms in Ausgangsdaten des 
Bus-Datenstroms, und umgekehrt, umkopiert. 

22. Verfahren nach einem der Anspruche 14 bis 21, 
dadurch gekennzeichnet , daS 
sicherheitsbezogenen Daten in einem 
Sicherheitsprotokoll uber den Bus (2) ubertragen 
werden. 

23. Verfahren nach Anspruch 22, 
dadurch gekennzeichnet, daS 

das Sicherheitsprotokoll zusatzlich zum Sicherheitsdatum 
das negierte Sicherheitsdatum, eine laufende Nummer, 
eine Adresse und/oder eine Datensicherungsinf ormation 
(CRC) umfaSt. 

24. Verfahren nach einem der Anspruche 14 bis 23, 
dadurch gekennzeichnet, daS 

der Bus ein nach dem Master- Slave -Prinzip arbeitendes 
System ist, wobei Daten zwischen zumindest zwei Slaves, 
insbesondere zwischen einzelnen Busteilnehmern (31-38) , 
mittels einer Daten-Verbindung uber wenigstens einen 
Sicherheitsanalysator (5, 5 1 , 5 XX ) ubertragen werden, 
wobei der Sicherheitsanalysator Daten im Busdatenstrom 
umkopiert . 

25. Verfahren nach einem der Anspruche 14 bis 23 , 
dadurch gekennzeichnet, daS 

der Bus ein nach dem Master-Slave-Prinzip arbeitendes 
System ist, wobei Daten zwischen zumindest zwei Slaves, 
insbesondere zwischen einzelnen Busteilnehmern (31-38) , 
mittels einer Daten-Verbindung uber die Steuerung oder 
den Master ubertragen werden, wobei die Steuerung bzw. 
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der Master Daten im Busdatenstrom umkopiert. 

26. Verfahren nach einem der Anspruche 14 bis 25, 
dadurch gekennzeichnet , daS 

mittels eines Sicherheitsanalysators (5, 5', 5>M 
Qualitatsdaten erzeugt und/oder eine Aufbereitung der 
gelesenen Daten zur weiteren Verarbeitung durchgefuhrt 
werden . 

27. Verfahren nach einem der Anspruche 14 bis 26, 
dadurch gekennzeichnet, da£ 

die in einem Sicherheitsanalysator (5»> ablaufenden 
sicherheitsbezogenen Verknupfungen zumindest teilweise 
redundant in wenigstens einem weiteren 

Sicherheitsanalysator (5'M durchgefuhrt und durch beide 
Sicherheitsanalysatoren zumindest teilweise die 
gleichen Sicherheitsf unktionen ausgefuhrt werden. 

28. Verfahren nach einem der Anspruche 14 bis 27, 
20 dadurch gekennzeichnet, dafi 

ein Sicherheitsanalysator zumindest teilweise auch eine 
ProzeSdatenverarbeitung durchf uhrt . 
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(57) Abstract: The invention relates to a security-related automation sys- 
tem and a method for operating said system. In order to produce a secu- 
rity-related bus automation system which involves a minimum amount of 
hardware redundancy and which can be adapted lo requirements in a flexi- 
ble manner, the automation system comprises at least one security analyzer 
which is connected to the bus by means of an interface and which monitors 
the data flow via said bus. whereby the analyzer is configured in such a 
way that it can execute security-related functions. The automation system 
is characterized in that a standard control device controls at least one se- 
curity-related output and the security analyzer is configured in such a way 
that it can monitor and/or process security-related data in the bus data flow. 

(57) Zusammenfassung: Die Erfindung beirifft ein sicherheitsbezogenes 
Automaiisierungssystem und ein Verfahrcn zum Betrieb eines derartigen 
Systems. Urn ein sicherheitsbezogenes Auiomatisierungsbussystem bereit- 
zustcllcn, welches mil einer geringen llardware-Redundanz auskommt und 
flexibel an die jeweiligen Anfordernisse angepa&t werden kann. umfa&i das 
Automaiisierungssystem zumindest einen Sicherheitsanalysaior, der mit- 
tels einer Schnittstelle an den Bus angeschlossen ist und den DatenfluB 
liber den Bus miihOrL wobei der Analysator zum Ausfuhren von sicher- 
heitsbezogenen Funktionen eingerichtet isl Das Automatisierungssystem 
zeichnet sich dadurch aus, daB die Standardsteuereinrichtung zumindest ei- 
nen sicherheitsbezogenen Ausgang ansteuen und der Sicherheitsanalysator 
zur UberprUfung und/oder zum Verarbeiten von sicherheitsbezogenen Da- 
ten im Busdatenstrom ausgebildet ist. 
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